Como viene ocurriendo desde el año 2012, en octubre se celebra el Mes Europeo de la Ciberseguridad, cuyo objetivo es sensibilizar y concienciar tanto a ciudadanos como a organizaciones, sobre la importancia que tiene la ciberseguridad.
Hablar de ciberseguridad en el ámbito empresarial no es exclusivo de grandes corporaciones. Aún es muy común relacionar la ciberseguridad solo con grandes empresas, pero la realidad es que debe tenerse en consideración con independencia de si son empresas grandes, medianas, microempresas o autónomos. Dentro de la actividad diaria de cualquiera de ellas, se podrían identificar situaciones cotidianas relacionadas con esta temática, como la protección de datos personales que se manejen o el uso seguro de herramientas internas, como podría ser el correo electrónico.
En este 2019, la temática elegida para las dos primeras semanas del Mes Europeo de la Ciberseguridad son los buenos hábitos diarios en materia de seguridad de la información, los cuales hacen referencia a las medidas rutinarias que se deben tomar en cualquier empresa para mantener un óptimo nivel de ciberseguridad.
Buenos hábitos en ciberseguridad, todos los días
Las empresas, independientemente del sector al que pertenezcan, utilizan en su actividad diaria múltiples dispositivos, como smartphones, tablets, ordenadores, servicios en la nube, etc. Su uso está ligado al desarrollo de diversas tareas, como navegar por Internet, acceder a aplicaciones específicas (como por ejemplo las que se pudieran utilizar en el departamento de contabilidad), el acceso y uso del correo electrónico para el envío de una factura a un cliente, conectar dispositivos de almacenamiento externos como memorias USB, etc. En definitiva, para el desarrollo de múltiples funciones que, a su vez, también pueden entrañar una serie de riesgos que podrían comprometer la seguridad de una empresa. Por este motivo, será muy importante seguir una serie de buenas prácticas y recomendaciones en ciberseguridad.
Bloqueo de sesión
¿Cuantas veces te has levantado de tu puesto de trabajo sin bloquear el equipo, o has dejado tu smartphone, desbloqueado y sin vigilancia, aunque fuera solo unos segundos? Si alguien hubiera accedido al ordenador o robado el dispositivo móvil sin estar debidamente bloqueado, podría haber accedido a todo tipo de información, incluyendo la confidencial. Cualquiera de estas situaciones se podría haber evitado con un simple bloqueo de sesión.
Cualquier dispositivo en una empresa que sea capaz de acceder o gestionar información confidencial deberá permanecer bloqueado siempre que se encuentre sin vigilancia. En ordenadores, el bloqueo de pantalla se puede realizar por medio de los siguientes atajos de teclado:
- Windows: Win + L
- MacOS: Control + Opción + Q
- Linux: Control + Alt + L
En smartphones o tablets se debe habilitar el bloqueo automático del dispositivo por medio de contraseña o biometría, en el menor tiempo posible.
Software actualizado y legítimo
Se debe mantener todo el software de los dispositivos empresariales actualizado a la última versión disponible. De esta forma, se corrigen las vulnerabilidades detectadas y se cuenta con las últimas funcionalidades ofrecidas por el desarrollador. Siempre que sea posible, se deberán activar las actualizaciones automáticas, ya que es una forma relativamente cómoda y práctica que permite mantener los equipos siempre actualizados.
Otro punto importante a tener en cuenta es la procedencia del software, incluidas las propias actualizaciones. Siempre deben provenir de las fuentes oficiales, bien sea de su página web o de tiendas específicas como la App Store de Apple o la Play Store de Google. En caso contrario, es muy probable que el dispositivo termine infectado por software malicioso.
Antivirus y firewall
Todos los equipos de la empresa deben contar con antivirus y firewall activado y actualizado a la última versión disponible, ya que son herramientas imprescindibles y complementarias de protección contra el malware.
El antivirus es un programa informático diseñado y desarrollado específicamente para detectar, bloquear y eliminar código malicioso. También puede incorporar otras herramientas de seguridad, como la capacidad de detectar webs fraudulentas o de protección contra el ransomware.
En cambio, el firewall o cortafuegos tiene el objetivo de permitir o limitar el flujo de tráfico que va desde y hacia Internet, evitando así que el malware pueda comunicarse con el exterior y bloquear ataques procedentes de Internet que pudieran afectar al funcionamiento del equipo o a la extracción de su información.
Mesas limpias y documentación en papel
En la gran mayoría de empresas, a pesar de contar con distintos dispositivos, como ordenadores o smartphones, sigue siendo muy habitual utilizar documentación en papel. Cualquier tipo de documento, especialmente aquellos catalogados como confidenciales o críticos para el negocio, deberán estar almacenados en un lugar seguro, principalmente al concluir la jornada laboral o siempre que no se esté en presencia de ellos. La destrucción de los mismos al finalizar su ciclo de vida útil será también considerada como un proceso crítico, y deberá realizarse utilizando destructoras de papel o por medio de empresas especializadas en estas tareas, que ofrezcan garantías.
Uso adecuado de Internet y sistemas corporativos
Tanto Internet como el resto de los dispositivos de la empresa deben ser utilizados en exclusiva para el ámbito laboral. No se deberán utilizar para cuestiones meramente personales o para aquellas que pudieran comprometer la seguridad del equipo y por lo tanto de la organización. Esto es especialmente importante en el caso de Internet, sitios de dudosa legitimidad, webs de descargas, juegos, etc. Todas estas situaciones provocarán que disminuya en mayor o menor medida la eficiencia del empleado y podrían acarrear otro tipo de consecuencias negativas, como la infección por malware.
Uso seguro de dispositivos de almacenamiento extraíbles
Los dispositivos de almacenamiento extraíbles, como memorias USB, discos duros portátiles o incluso CDs, DVDs o Blu-Rays, permiten transferencias rápidas y directas de información. Habitualmente son muy utilizados en las organizaciones, pero también pueden entrañar riesgos. Las fugas de información son el principal incidente de seguridadrelacionado con estos dispositivos, sobre todo si la información que contiene no está debidamente cifrada y protegida. El borrado de los soportes que se van a desechar también debe realizarse de forma segura.